情報セキュリティ管理比較問題
予防的統制と発見的統制の違いについて、最も適切な説明はどれか。
A.予防的統制はセキュリティインシデント発生後に対応し、発見的統制は事前に防止する仕組みである。
✗ 正反対です。予防的統制は事前に防止し、発見的統制は発生後に検出する仕組みです。説明が逆転しています。
B.予防的統制はリスク発生を事前に防止し、発見的統制は発生したリスクを検出・発見する仕組みである。← 正解
✓ 正解です。予防的統制で防止できないリスクを発見的統制で検出することで、多層的な防御が実現します。
C.発見的統制は予防的統制よりも低コストで実装できるため、組織はできるだけ発見的統制を優先すべきである。
✗ 発見的統制は低コストですが、すでに侵害が発生している可能性があるため、予防的統制とのバランスが重要です。
D.予防的統制はアクセス制御に限定され、発見的統制はログ監視に限定される仕組みである。
✗ 予防的統制と発見的統制は特定の技術に限定されず、ポリシーや手順など様々な形態で実装されます。
「情報セキュリティ管理」の他の問題
脆弱性(Vulnerability)と脅威(Threat)の違いについて、最も適切な説明はどれか。秘密性(Confidentiality)と完全性(Integrity)の違いについて、最も適切な説明はどれか。共通鍵暗号と公開鍵暗号の違いについて、最も適切な説明はどれか。ある組織では、年間で1,200件のセキュリティインシデントが報告されています。このうち95%が正常に解決されました。解決…情報システムのセキュリティ評価では、脅威数が240、脆弱性数が30、脅威と脆弱性が同時に存在するリスク要因が18の場合、…ある組織の情報セキュリティコストは、前年度1,500万円でした。今年度は前年度比で18%削減される予定です。今年度の予算…